Tvrtke koje pružaju primarne usluge, npr. pružatelji energije, transporta, bankarskih i zdravstvenih usluga, odnosno pružatelji digitalnih usluga poput tražilica i cloud usluga, morat će poboljšati vlastite sposobnosti odolijevanja kibernetičkim napadima, stoji u pravilima o kibernetičkoj sigurnosti donesenima na razini EU.
"Postavljanje zajedničkih standarda kibernetičke sigurnosti i intenziviranjem suradnje među državama EU-a pomoći će tvrtkama kako bi se zaštitile, te će pomoći u sprečavanju napada na unutarnju strukturu kojom su povezane članice Unije, izvještavaju zastupnici.
"Kibernetički incidenti vrlo često imaju prekogranični element i time postaju problem više članica istovremeno. Rascjepkana zaštita čini nas ranjivijima i velik je sigurnosni rizik za Europu u cjelini. Ova direktiva omogućit će umrežavanje i sigurnost samih informacija, te povećati suradnju među državama članicama EU, što bi u konačnici trebalo omogućiti sprječavanje napada na najvažniju zajedničku infrastrukturu u budućnosti.“, rekao je rekao je izvjestitelj Parlamenta Andreas Schwab (EPP, DE).
"EU Direktiva o mrežnoj i informacijskoj sigurnosti (NIS) također je jedan od prvih zakonodavnih okvira koji se odnosi na platforme. U skladu sa strategijom jedinstvenog digitalnog tržišta, uspostavlja usklađene uvjete za platforme, i osigurava da se može očekivati slična pravila gdje god one rade u EU. To je veliki uspjeh i prvi veliki korak u uspostavi sveobuhvatnog regulatornog okvira za platforme u EU " , dodao je izvjestitelj.
Države članice EU uspostavit će listu tvrtki koje pružaju "primarne usluge"
Novi zakon propisuje sigurnosne i izvještajne obveze za "operatore primarnih usluga " u sektorima kao što su energetika, promet, zdravstvo, bankarstvo i opskrba pitkom vodom. Države članice EU morat će prepoznati aktere na tim područjima koristeći posebne kriterije, npr. je li usluga ključna za društvo i gospodarstvo, te bi li incidenti imali značajne ometajuće učinke na pružanje te usluge.
Neki pružatelji digitalnih usluga, online trgovine, tražilice i usluge oblaka također će morati poduzeti mjere kako bi se osigurala sigurnost njihove infrastrukture i morat će prijaviti veće incidente nacionalnim vlastima. Međutim, sigurnosne i izvještajne obveze za takve pružatelje usluga bit će blaže. Mikro i male digitalne tvrtke bit će izuzete od ovih pravila.
Mehanizmi suradnje na razini EU
Nova pravila omogućavaju strateškoj "grupi za suradnju" razmjenu informacija i pomažu državama članicama u građenju kibernetičke sigurnosti. Svaka država članica će morati usvojiti nacionalnu Direktivu o mrežnoj i informacijskoj sigurnosti (NIS). Države članice će također trebati razviti mrežu CSIRT ( Computer Security Incident Response Teams) za obradu incidenata i rizika, raspravu o pitanjima prekogranične sigurnosti i identifikaciju koordiniranih odgovora.
Agencija Europske unije za mrežnu i informacijsku sigurnost (ENISA) će igrati ključnu ulogu u provedbi direktiva, osobito u odnosu na suradnju. Potreba za poštivanjem pravila o zaštiti podataka ponavlja se u cijeloj direktivi.
Sljedeći koraci
Direktiva o mrežnoj i informacijskoj sigurnosti (NIS) uskoro će biti objavljena u Službenom listu Europske unije te će stupiti na snagu dvadesetog dana od dana objavljivanja. Države članice će tada imati 21 mjesec za prenošenje direktive u svoje nacionalne zakone i šest dodatnih mjeseci za identifikaciju operatora primarnih usluga, navodi se u priopćenju Europskog parlamenta.